🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma cepa de ransomware recentemente descoberta chamada HybridPetya pode ignorar o recurso de inicialização seguro da UEFI para instalar um aplicativo malicioso na partição do sistema EFI.
A Hybridpetya parece inspirada no malware destrutivo Petya/Notpetya que criptografou computadores e impediu que as janelas inicializassem em ataques em 2016 e 2017, mas não forneciam uma opção de recuperação.
Pesquisadores da empresa de segurança cibernética ESET encontraram uma amostra de hybridpetya no Virustototal. Eles observam que este pode ser um projeto de pesquisa, uma prova de conceito ou uma versão inicial de uma ferramenta de crimes cibernéticos ainda em testes limitados.
Ainda assim, a ESET diz que sua presença é mais um exemplo (junto com Blacklotus, Bootkitty e Hyper-V backdoor) que os bootkits da UEFI com funcionalidade de desvio seguro são uma ameaça real.
Hybridpetya incorpora características de Petya e Notpetya, incluindo o estilo visual e a cadeia de ataque dessas cepas de malware mais antigas.
No entanto, o desenvolvedor adicionou novas coisas como a instalação na partição do sistema EFI e a capacidade de ignorar a inicialização segura, explorando a vulnerabilidade CVE-2024-7344.
O ESET descobriu a falha em janeiro deste ano, a questão consiste em aplicativos assinados pela Microsoft que poderiam ser explorados para implantar bootkits, mesmo com proteção de inicialização segura ativa no destino.
Execução Logicsource: ESET
Após o lançamento, o HybridPetya determina se o host usa a UEFI com a partição GPT e solta um bootkit malicioso na partição do sistema EFI que consiste em vários arquivos.
Isso inclui arquivos de configuração e validação, um carregador de inicialização modificado, um uefi bootloader UEFI, um contêiner de carga útil de exploração e um arquivo de status que rastreia o progresso da criptografia.
O ESET lista os seguintes arquivos usados entre as variantes analisadas de hybridpetya:
\ Efi \ microsoft \ boot \ config (sinalizador de criptografia + key + nonce + vítima ID)
\ Efi \ microsoft \ boot \ verify (usado para validar a chave de descriptografia correta)
\ Efi \ Microsoft \ Boot \ Counter (Rastreador de Progresso para Clusters Criptografados)
\ Efi \ microsoft \ boot \ bootmgfw.efi.old (backup do bootloader original)
\ Efi \ Microsoft \ boot \ BOAK.DAT (contém o Xored Bootkit na variante de desvio de inicialização segura)
Além disso, o malware substitui \ efi \ microsoft \ boot \ bootmgfw.efi pelo vulnerável 'Reloader.efi' e remove \ efi \ boot \ bootx64.efi.
O Windows Bootloader original também é salvo para ser ativado no caso de restauração bem -sucedida, o que significa que a vítima pagou o resgate.
Uma vez implantado, o Hybridpetya desencadeia um BSOD exibindo um erro falso, como Petya, e força uma reinicialização do sistema, permitindo que o bootkit malicioso seja executado na inicialização do sistema.
Nesta etapa, o ransomware criptografa todos os clusters MFT usando uma chave Salsa20 e sem extração do arquivo de configuração ao exibir uma mensagem falsa chkdsk, como o NOTPETYA.
Fake Chkdsk MessageSource: ESET
Depois que a criptografia concluir, outra reinicialização é acionada e a vítima é servida uma nota de resgate durante a inicialização do sistema, exigindo um pagamento de bitcoin de US $ 1.000.
Ransom Notesource de Hybridpetya: ESET
Em troca, a vítima recebe uma chave de 32 caracteres que eles podem inserir na tela de nota de resgate, que restaura o carregador de inicialização original, descriptografa os clusters e leva o usuário a reiniciar.
Embora a Hybridpetya não tenha sido observada em nenhum ataque real na natureza, projetos semelhantes podem optar por armar o POC e usá -lo em amplas campanhas direcionadas a sistemas Windows não patches a qualquer momento.
Indicadores de compromisso para ajudar a se defender contra essa ameaça foram disponibilizados neste repositório do GitHub.
A Microsoft fixou o CVE-2024-7344 com o patch de janeiro de 2025 na terça-feira, portanto, os sistemas Windows que aplicaram essas atualizações de segurança ou posterior são protegidas do HybridPetya.
Outra prática sólida contra o ransomware é manter os backups offline dos seus dados mais importantes, permitindo uma restauração gratuita e fácil do sistema.
PICUS AZUL RELATÓRIO 2025 ESTÁ AQUI: 2X AUMENTO NO
46% dos ambientes tinham senhas quebradas, quase dobrando de 25% no ano passado.
Obtenha o PICUS Blue Report 2025 agora para obter uma visão abrangente de mais descobertas sobre tendências de prevenção, detecção e exfiltração de dados.
Obtenha o relatório azul 2025
A Hybridpetya parece inspirada no malware destrutivo Petya/Notpetya que criptografou computadores e impediu que as janelas inicializassem em ataques em 2016 e 2017, mas não forneciam uma opção de recuperação.
Pesquisadores da empresa de segurança cibernética ESET encontraram uma amostra de hybridpetya no Virustototal. Eles observam que este pode ser um projeto de pesquisa, uma prova de conceito ou uma versão inicial de uma ferramenta de crimes cibernéticos ainda em testes limitados.
Ainda assim, a ESET diz que sua presença é mais um exemplo (junto com Blacklotus, Bootkitty e Hyper-V backdoor) que os bootkits da UEFI com funcionalidade de desvio seguro são uma ameaça real.
Hybridpetya incorpora características de Petya e Notpetya, incluindo o estilo visual e a cadeia de ataque dessas cepas de malware mais antigas.
No entanto, o desenvolvedor adicionou novas coisas como a instalação na partição do sistema EFI e a capacidade de ignorar a inicialização segura, explorando a vulnerabilidade CVE-2024-7344.
O ESET descobriu a falha em janeiro deste ano, a questão consiste em aplicativos assinados pela Microsoft que poderiam ser explorados para implantar bootkits, mesmo com proteção de inicialização segura ativa no destino.
Execução Logicsource: ESET
Após o lançamento, o HybridPetya determina se o host usa a UEFI com a partição GPT e solta um bootkit malicioso na partição do sistema EFI que consiste em vários arquivos.
Isso inclui arquivos de configuração e validação, um carregador de inicialização modificado, um uefi bootloader UEFI, um contêiner de carga útil de exploração e um arquivo de status que rastreia o progresso da criptografia.
O ESET lista os seguintes arquivos usados entre as variantes analisadas de hybridpetya:
\ Efi \ microsoft \ boot \ config (sinalizador de criptografia + key + nonce + vítima ID)
\ Efi \ microsoft \ boot \ verify (usado para validar a chave de descriptografia correta)
\ Efi \ Microsoft \ Boot \ Counter (Rastreador de Progresso para Clusters Criptografados)
\ Efi \ microsoft \ boot \ bootmgfw.efi.old (backup do bootloader original)
\ Efi \ Microsoft \ boot \ BOAK.DAT (contém o Xored Bootkit na variante de desvio de inicialização segura)
Além disso, o malware substitui \ efi \ microsoft \ boot \ bootmgfw.efi pelo vulnerável 'Reloader.efi' e remove \ efi \ boot \ bootx64.efi.
O Windows Bootloader original também é salvo para ser ativado no caso de restauração bem -sucedida, o que significa que a vítima pagou o resgate.
Uma vez implantado, o Hybridpetya desencadeia um BSOD exibindo um erro falso, como Petya, e força uma reinicialização do sistema, permitindo que o bootkit malicioso seja executado na inicialização do sistema.
Nesta etapa, o ransomware criptografa todos os clusters MFT usando uma chave Salsa20 e sem extração do arquivo de configuração ao exibir uma mensagem falsa chkdsk, como o NOTPETYA.
Fake Chkdsk MessageSource: ESET
Depois que a criptografia concluir, outra reinicialização é acionada e a vítima é servida uma nota de resgate durante a inicialização do sistema, exigindo um pagamento de bitcoin de US $ 1.000.
Ransom Notesource de Hybridpetya: ESET
Em troca, a vítima recebe uma chave de 32 caracteres que eles podem inserir na tela de nota de resgate, que restaura o carregador de inicialização original, descriptografa os clusters e leva o usuário a reiniciar.
Embora a Hybridpetya não tenha sido observada em nenhum ataque real na natureza, projetos semelhantes podem optar por armar o POC e usá -lo em amplas campanhas direcionadas a sistemas Windows não patches a qualquer momento.
Indicadores de compromisso para ajudar a se defender contra essa ameaça foram disponibilizados neste repositório do GitHub.
A Microsoft fixou o CVE-2024-7344 com o patch de janeiro de 2025 na terça-feira, portanto, os sistemas Windows que aplicaram essas atualizações de segurança ou posterior são protegidas do HybridPetya.
Outra prática sólida contra o ransomware é manter os backups offline dos seus dados mais importantes, permitindo uma restauração gratuita e fácil do sistema.
PICUS AZUL RELATÓRIO 2025 ESTÁ AQUI: 2X AUMENTO NO
46% dos ambientes tinham senhas quebradas, quase dobrando de 25% no ano passado.
Obtenha o PICUS Blue Report 2025 agora para obter uma visão abrangente de mais descobertas sobre tendências de prevenção, detecção e exfiltração de dados.
Obtenha o relatório azul 2025
#samirnews #samir #news #boletimtec #o #novo #ransomware #hybridpetya #pode #ignorar #a #uefi #secure #boot
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário